WCF 安全支持提供程序接口 (SSPI) 协商失败
Posted
技术标签:
【中文标题】WCF 安全支持提供程序接口 (SSPI) 协商失败【英文标题】:WCF The Security Support Provider Interface (SSPI) negotiation failed 【发布时间】:2011-04-01 06:18:30 【问题描述】:我正在使用我创建的 wcf 服务,当主机和客户端计算机都在同一个域上时,一切正常。 当我将客户端应用程序发布到 DMZ 中的网络服务器时,我收到以下错误:
SOAP security negotiation with 'http://10.0.0.14:3790/Bullfrog/QBService/QBService' for
target 'http://10.0.0.14:3790/Bullfrog/QBService/QBService' failed. See inner exception
for more details.The Security Support Provider Interface (SSPI) negotiation failed.
这是我设置服务的主要服务
Uri baseAddress = new Uri("Http://10.0.0.14:3790/Bullfrog/QBService");
ServiceHost selfHost = new ServiceHost(typeof(QBService), baseAddress);
try
selfHost.AddServiceEndpoint(
typeof(IQBService),
new WSHttpBinding(),
"QBService");
ServiceMetadataBehavior smb = new ServiceMetadataBehavior();
smb.HttpGetEnabled = true;
selfHost.Description.Behaviors.Add(smb);
selfHost.Open();
Console.WriteLine("The service is ready");
catch (CommunicationException ce)
//log.Error(ce.Message, ce);
Console.WriteLine(ce.Message, ce);
selfHost.Abort();
这是我客户端的配置部分
<system.serviceModel>
<bindings>
<wsHttpBinding>
<binding name="WSHttpBinding_IQBService" closeTimeout="00:01:00"
openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard"
maxBufferPoolSize="524288" maxReceivedMessageSize="65536"
messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true"
allowCookies="false">
<readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
maxBytesPerRead="4096" maxNameTableCharCount="16384" />
<reliableSession ordered="true" inactivityTimeout="00:10:00"
enabled="false" />
<security mode="Message">
<transport clientCredentialType="Windows" proxyCredentialType="None"
realm="" />
<message clientCredentialType="Windows" negotiateServiceCredential="true"
algorithmSuite="Default" />
</security>
</binding>
</wsHttpBinding>
</bindings>
<client>
<endpoint address="http://10.0.0.14:3790/Bullfrog/QBService/QBService"
binding="wsHttpBinding" bindingConfiguration="WSHttpBinding_IQBService"
contract="IQBService" name="WSHttpBinding_IQBService">
<identity>
<userPrincipalName value="Administrator@bullfrogspas.local" />
</identity>
</endpoint>
</client>
我确定问题是因为它使用的是 Windows 身份验证。有任何想法吗? 谢谢!
【问题讨论】:
我不是 100% 确定,所以我不会将此作为答案发布,但 IMO Windows 身份验证只有在客户端和服务器位于同一域或受信任域时才可能。顺便提一句。如果内部网络和 DMZ 都是您企业基础设施的一部分,您为什么选择具有消息安全性的 WsHttpBinding?这是最慢的选择。 如果内部网络和 DMZ 都是您企业基础设施的一部分,为什么您选择具有消息安全性的 WsHttpBinding?-- 因为我不知道任何其他方式 :) 我应该使用哪种方式?如前所述,我确信这是导致问题的 Windows 身份验证。那么我需要改用什么?谢谢! 【参考方案1】:我认为这行不通,而且我没有快速测试它的环境。 SSPI 使用 NTLM 或 Kerberos(如果不使用服务凭据协商,则必须使用)对客户端上的服务和服务上的客户端进行身份验证。 NTLM 和 Kerberos 都需要相同的域或受信任的域。
如果您想使用消息安全性,您可以将配置更改为使用证书或用户名 + 密码(服务仍需要证书)。您可以在活动目录或任何其他凭据存储中验证用户名和密码。
请记住,消息安全是最慢的。传输安全 (HTTPS) 可以实现更好的性能 - 它可以通过网络设备加速。如果您使用 HTTPS,则可以将其与基本身份验证结合使用,并从您的代码中提供客户端凭据,这样您就可以在内部区域中调用服务,并使用域凭据进行身份验证。服务将通过其用于 HTTPS 的证书进行身份验证。 HTTPS 还允许相互证书身份验证,其中客户端将证书发送到服务 - 如果正确配置的客户端证书可以映射到域帐户。这两种方法类似于消息安全中提到的方法,但不是在 SOAP 标头中发送凭据,而是使用 HTTP 标头。
【讨论】:
谢谢!我非常感谢你在这方面的帮助。!我让它与基本绑定一起工作。尽管在使用它之前我可能需要为其添加安全性。我不知道,当主机在防火墙后面,唯一的客户端在 DMZ 中时,安全的风险和需求是什么? 这取决于您的网络架构。如果您可以直接访问该服务(无需任何代理),您可以毫无问题地使用 HTTPS。如果您通过某个应用程序代理(如 ISA 服务器)访问服务,您将在客户端和 ISA 之间建立单独的 HTTPS 连接,在 ISA 和服务之间建立另一个连接。 ISA 服务器上的邮件将不安全,但通常不会有问题,因为 ISA 服务器在您的控制之下。【参考方案2】:我认为您应该在 web.config 中注释以下代码
<identity>
<userPrincipalName value="Administrator@bullfrogspas.local" />
</identity>
因为它解决了我的问题。
【讨论】:
以上是关于WCF 安全支持提供程序接口 (SSPI) 协商失败的主要内容,如果未能解决你的问题,请参考以下文章